Bogatir, осталось решить последнюю проблему - работоспособность зафаерволеной машины и аттаки изнутри.

Тупым фаерволом этого не решить.

А ты на серверах Exchange закрой и на DC и посмотри чего религия (в лице заказчика) на эту тему глаголит.

а что юзать?
Ты мне хоть один функциональный аналог приведи, я посмотрю и возможно завяжу с технологиями MS.

qmail+popa3d+nis не предлагать ибо убого.

2 koras

HIDS тут рулят, только дорогие, блин, особенно если Real Secure, особенно если она.

--- реклама он ---

хотя "инфор за счит а"  до нового года впаривает 1000 desktop protector за 30 килобаксов, т.е. 30 баков за штуку. Его смело можно громоздить на серверок и файрволить и идэсить в свое удовольствие. Dcom #2 отшивает чуть не с весенними обновлениями.

---реклама  офф---

Фаервол это конечно хорошо, но в итоге система будет напоминать колосса на глиняных ногах
имхо - фаервол - это серьезнвя помощь OC для обеспечения безопасности, но главным должна быть секурность самой системы

2 asu4ka врядли разложит
У меня на подружение MS SSL и OpenSSL много времени ушло...

2Ssh-700 Тебе слова "Корпоративный стандарт" знакомы?

LOL С каких это пор использование в корпоративных системах "мастдайки" стало так зазорно? Гниль и убогость в мозгах, причем в первую очередь - у таких вот отмороженных технарей, дальше своего короткого носа не заглядывающих. "Технологии MS" - это не религия, а реальные средства, разумных альтернатив которых в ооочень многих областях просто нет.

"Вот и фся мораль" (с)

Неужели exchange опаснее, чем какой-нибудь sendmail?

А кто говорил про линух?
разумеетца, я б тоже не доверил линухофилам что-то писать аще!
Чем отличаются (в плане секьюрности и надежности) поделки якобы "инженеров" M$ (ради интереса гляньте на заглавную страницу сейчас - все уязвимости от МС) от Берклевского университета? А?
Ну, а касаемо эксчейнджа - дело твое.

Меня всегда умиляли сравнения Exchange и sendmail

Ребятки - sendmail - это SMTP маршрутизатор (MTA) и все.
Exchange - система обмена сообщениями и автоматизации воркфлоу. SMTP сервер - только один из компонентов Ex и причем далеко необязательный.
Да, несомненно *nix MTA гораздо гибче в настройке, и именно поэтому у них можно весьма хорошо "закрутить" гайки, оставив только необходиму функциональность.

Кста, во многих серьезных ентерпрайзах smtp работает только на одном exchange сервере - том через который все ходят ценрализованно в интернет. и естественно он не торчит наружу, весь трафик проходит через фсяческие контент-фильтры и иже сними.

Но переметрическая защита - это 0,1 % всей безопасности.

А то бы не было простоев - на то и пейсопасники, что бы обеспечивать доступность систем. Вне зависимости от того, на каких платформах она реализована.

Приходишь ты в контору, а там вертится _критичный_ софт на баньяне или хуже того, на nt 4 SP3 а на другом работать не может. И что ты будешь делать?  Переписывать?